Malware USBCulprit usa USBs para ajudar a roubar dados

Malware USBCulprit usa USBs para ajudar a roubar dados. Nova linhagem de Malware USBCulprit usado contra alvos no sudeste da Ásia. 

Um grupo de hackers está implantando uma nova linhagem de malware chamada USBCulprit, que usa USBs e outros dispositivos de armazenamento para ajudar no roubo de dados, de acordo com uma pesquisa da empresa de segurança Kaspersky .

Esse malware desenvolvido parece ter sido desenvolvido por um grupo avançado de ameaças persistentes conhecido como Cycldek, ativo desde 2013 e tem como alvo principal organizações de defesa, energia e governo em partes do sudeste da Ásia, especialmente no Vietnã, de acordo com a Kaspersky.

E enquanto o malware USBCulprit parece ser entregue por e-mails de phishing, o código malicioso, uma vez instalado em um dispositivo do tipo air-gapped, pode copiar e exfiltrar dados desse dispositivo para dispositivos de armazenamento portáteis, como uma unidade USB.

Ele entra no sistema através de documentos RTF ou outros meios desconhecidos, realiza uma varredura extensa do sistema da vítima e começa a vasculhar documentos, passando-os e se replicando em mídia removível.

Essa ferramenta, que vimos baixada pelos implantes RedCore em várias instâncias, é capaz de digitalizar vários caminhos nas máquinas vítimas, coletando documentos com extensões específicas e passando-os para as unidades USB quando estão conectados ao sistema. Também pode copiar seletivamente próprio para uma unidade removível na presença de um arquivo específico, sugerindo que ele pode ser espalhado lateralmente por ter as unidades designadas infectadas e o executável nelas aberto manualmente “, explica Kaspersky.

Ele é capaz de se copiar para qualquer armazenamento removível recém-conectado“, disseram Giampaolo Dedola e Mark Lechtik, pesquisadores de segurança da Kaspersky, ao Information Security Media Group. “Esse armazenamento – normalmente um USB – precisaria estar fisicamente conectado a outra máquina e o malware nele executado manualmente para se espalhar“.

Embora a maioria dos ataques que a Kaspersky tenha rastreado até o USBCulprit remonta a 2018, acredita-se que o malware ainda esteja ativo, de acordo com o relatório. Não se sabe quantas organizações são alvo e se alguma delas resultou em roubo de dados.

Só podemos confirmar que o grupo visava entidades diplomáticas e instituições governamentais localizadas em países do sudeste asiático“, observam Dedola e Lechtik. “O malware em si não faz distinção entre arquivos roubados com base no conteúdo, mas apenas em sua extensão. Portanto, só resta especular sobre a natureza dos documentos recuperados das vítimas“.

 

Ataque sofisticado

Os ataques rastreados pela Kaspersky começam com e-mails de phishing com temas políticos que contêm documentos maliciosos em formato rich text. O malware usado na fase inicial desses ataques tira proveito de várias vulnerabilidades no Microsoft Office para infectar um dispositivo de destino, de acordo com o relatório.

Depois que um dispositivo é infectado, o malware inicial implanta um Trojan de acesso remoto, ou RAT, chamado NewCore, de acordo com o relatório. O NewCore RAT vem em duas variantes chamadas BlueCore e RedCore, que se comportam de maneiras semelhantes e usam a mesma infraestrutura, mas são implantadas em diferentes alvos e são supervisionadas por grupos de hackers dentro da organização Cycldek, de acordo com a Kaspersky.

Os operadores do cluster BlueCore investiram a maior parte de seus esforços nos objetivos vietnamitas com vários outliers no Laos e na Tailândia, enquanto os operadores do cluster RedCore começaram com foco no Vietnã e foram desviados para o Laos até o final de 2018“, de acordo com o relatório.

O BlueCore e o RedCore foram projetados para implantar o USBCulprit como a carga final dentro de um dispositivo infectado, de acordo com o relatório.

USBCulprit

Embora o USBCulprit tenha sido descoberto e analisado apenas recentemente pela Kaspersky, o código malicioso data de 2014 e mudou lentamente nos últimos anos, de acordo com Dedola e Lechtik. Uma das maiores mudanças é que, uma vez implantado em um dispositivo infectado, o USBCulprit agora é executado na memória do sistema e não no disco rígido, observam os analistas.

O malware não mudou muito ao longo dos anos. As modificações mais notáveis ​​foram a maneira como ele é carregado e executado, pelo qual as versões mais recentes teriam a carga útil do USBCulprit exposta apenas na memória após descriptografia e não no disco, como foi feito nas versões anteriores“, Dedola e Lechtik disseram à ISMG.

O USBCulprit verifica um dispositivo infectado e executa o reconhecimento, procurando arquivos específicos para copiar e exfiltrar. Ele também pode se mover lateralmente pelo dispositivo, mas o malware aguardará a presença de um dispositivo de armazenamento removível, como uma chave USB, antes de copiar e remover arquivos, de acordo com a Kaspersky.

Quando a inicialização e a coleta de dados são concluídas, o malware tenta interceptar a conexão de novas mídias e verifica se corresponde a uma unidade removível. Isso é conseguido executando um loop infinito, no qual o malware é adormecido e acorda a intervalos constantes para verificar todas as unidades conectadas“, de acordo com o relatório.

Como o USBCulprit aguarda até detectar uma chave USB ou outros dispositivos removíveis, esses ataques provavelmente dependem de um operador humano que obtém acesso a esses dispositivos com air-gapped, conecta o USB ou outro dispositivo de armazenamento e o remove, de acordo com a Kaspersky.

Cycldek Group

O grupo de hackers Cycldek, também conhecido como Goblin Panda, APT 27 e Conimes, parece ser de língua chinesa e principalmente interessado em organizações no sudeste da Ásia, de acordo com a Kaspersky e a empresa de segurança CrowdStrike , que também acompanha as atividades do grupo.

Embora primariamente interessado no Vietnã, o Cycldek também é conhecido por atingir organizações na Tailândia e no Laos, de acordo com Kaspersky e CrowdStrike.

Outros pesquisadores de segurança descobriram malware que pode penetrar em dispositivos e redes com air-gapped.

Por exemplo, em maio, a empresa de segurança ESET divulgou detalhes sobre o novo malware chamado Ramsay, capaz de se infiltrar em redes com air-gapped para roubar documentos, tirar capturas de tela e comprometer outros dispositivos 

 

Fonte: BankInfo Security & BleepingComputer

 

Veja também:

Sobre mindsecblog 1759 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!